Jak systemy ISO/IEC 27001 oraz ISO 22301 mogą pomóc w spełnieniu wymag

Jak systemy ISO/IEC 27001 oraz ISO 22301 mogą pomóc w spełnieniu wymagań ustawy o krajowym systemie cyberbezpieczeństwa?

28 sierpnia 2018 roku weszła w życie ustawa o krajowym systemie cyberbezpieczeństwa (Dz.U. z 2018 r. poz. 1560).  Celem ustawy jest wdrożenie postanowień Dyrektywy Parlamentu Europejskiego i Rady z dnia 6 lipca 2016, w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii, zwanej w skrócie Dyrektywą NIS.

 

Ustawa zakłada stworzenie Krajowego Systemu Cyberbezpieczeństwa (KSC), który będzie wykrywał, zapobiegał i minimalizował skutki ataków naruszających bezpieczeństwo informatyczne kraju. W skład KSC oprócz administracji rządowej i samorządowej będą wchodziły także największe przedsiębiorstwa z wybranych sektorów tzw. operatorzy kluczowi. Wykaz sektorów oraz rodzaje podmiotów zostały wyszczególnione w Załączniku nr 1 do niniejszej ustawy. Rozwiązania wynikające z ustawy o KSC będą musiały wdrożyć m.in. przedsiębiorstwa z branży:

  • Energia – w tym podmioty prowadzące działalność gospodarczą w zakresie wydobywania kopalin, dostawy energii elektrycznej i ciepła, produkcji i dostawy gazu.
  • Transport - w tym podmioty prowadzące działalność gospodarczą w zakresie transportu lotniczego, kolejowego, wodnego oraz drogowego.
  • Bankowość i infrastruktura rynków finansowych - w tym banki, spółdzielcze kasy oszczędnościowo-kredytowe oraz instytucje kredytowe.
  • Ochrona zdrowia - w tym szpitale, hurtownie farmaceutyczne, importerzy oraz wytwórcy leków, a także apteki.
  • Zaopatrzenie w wodę pitną - w tym głównie przedsiębiorstwa wodociągowo-kanalizacyjne.
  • Infrastruktura cyfrowa – w tym m.in. podmioty świadczące usługi DNS

 

Warto jednak podkreślić, że nie wszystkie podmioty działające w wyżej wymienionych obszarach będą musiały spełniać wymagania ustawy. O tym, które to będą przedsiębiorstwa zdecydują urzędnicy. Organ właściwy do spraw cyberbezpieczeństwa wyda decyzję o uznaniu podmiotu za operatora usługi kluczowej, jeżeli spełnione zostaną następujące warunki:

  • podmiot będzie świadczył usługę kluczową
  • będzie jednym z podmiotów wymienionych w załączniku do ustawy
  • do świadczenia usług będzie wykorzystywał systemy informatyczne
  • incydent miałby istotny skutek zakłócający świadczenie usługi kluczowej przez tego operatora. Pod pojęciem „usługa kluczowa” należy rozumieć usługę, która ma kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej i która została wymieniona w wykazie usług kluczowych.

 

Ustawa o krajowym systemie cyberbezpieczeństwa nakłada na operatorów usług kluczowych szereg wymagań. Do najważniejszych z nich zaliczyć należy obowiązek wdrożenia systemu zarządzania bezpieczeństwem w systemie informacyjnym.

 

Operatorzy usług kluczowych będą zobowiązani m.in. do szacowania i zarządzania ryzykiem związanym z możliwością wystąpienia incydentów, a także do wdrożenia odpowiednich środków technicznych i organizacyjnych umożliwiających bezpieczne utrzymanie i eksploatację systemu informacyjnego. Ponadto ustawa nakłada na nich obowiązek stałego monitorowania swoich systemów oraz weryfikowania, czy nie dochodzi do żadnych prób ataków sieciowych. Operatorzy usług kluczowych będą musieli także opracować procedury działania w przypadku naruszenia bezpieczeństwa systemu informacyjnego. Do ich obowiązków należeć będzie także zapewnienie obsługi incydentów, czyli wszelkich zdarzeń mogących mieć wpływ na bezpieczeństwo.

 

Kolejnym istotnym obowiązkiem, jaki ustawa nakłada na przedsiębiorstwa uznane w drodze decyzji administracyjnej za operatora usług kluczowych, jest wyznaczenie osoby odpowiedzialnej za utrzymywanie kontaktów z podmiotami krajowego systemu cyberbezpieczeństwa i przekazanie jej danych w ciągu 14 dni do organu właściwego do spraw cyberbezpieczeństwa.

 

Operatorzy usług kluczowych będą mieli również obowiązek przeprowadzenia, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej. Audyty te będą prowadzone przez odpowiednio akredytowane jednostki lub zespoły doświadczonych audytorów.

 

Warto podkreślić, że ustawa o krajowym systemie cyberbezpieczeństwa oprócz szeregu obowiązków przewiduje także kary finansowe za ich niespełnienie. Przykładowo, wysokość kary za nieprzeprowadzenie audytu przez operatora usługi kluczowej może wynieść aż do 200 tys. zł.

 

W spełnieniu tych wymagań mogą pomóc dwa systemy ISO/IEC 27001 oraz ISO 22301.

 

ISO/IEC 27001 jest międzynarodowo rozpoznawalnym standardem systemu zarządzania bezpieczeństwem informacji, który może mieć zastosowanie we wszystkich organizacjach, dla których informacja stanowi wymierną wartość lub jej ochrona wynika z odpowiednich przepisów prawa.

  • ISO/IEC 27001 pomaga zarządzać bezpieczeństwem informacji, wykorzystując zintegrowany zestaw wyznaczonych zasad, procedur, dokumentów i technologii.
  • Pomaga zapewnić poufność, integralność i dostępność danych, a także zapewnić odporności systemów przetwarzania.
  • ISO/IEC 27001 to system, który pomaga zarządzać, monitorować, kontrolować i ulepszać praktyki bezpieczeństwa informacji w organizacji w jednym miejscu, konsekwentnie i ekonomicznie.
  • System zarządzania bezpieczeństwem informacji zgodny z normą ISO/IEC 27001 zapewnia nie tylko zestaw odpowiednich kontroli technicznych, zasad i procedur, procesów monitorowania i ciągłego doskonalenia, ale także promuje kulturę i świadomość bezpieczeństwa informacji, która zapewnia bezpieczeństwo danych w całej firmie.
  • Uzyskanie certyfikatu ISO/IEC 27001 zapewnia pewność, że system zarządzania bezpieczeństwem informacji został przetestowany i poddany audytowi zgodnie z uznanymi międzynarodowymi standardami dobrych praktyk bezpieczeństwa informacji.
  • Uzyskanie certyfikatu ISO/IEC 27001 może również dostarczyć przekonujących dowodów na to, że firma podjęła niezbędne kroki w celu spełnienia wymogów bezpieczeństwa danych dotyczących ustawy o krajowym systemie cyberbezpieczeństwa.

 

Norma ISO 22301 (system zarządzania ciągłością biznesu) daje organizacjom dostęp do wymagań, które pozwolą na przygotowanie się do incydentów mogących uniemożliwiać osiągnięcie celów biznesowych. Została ona specjalnie zaprojektowana do zapewnienia ciągłości biznesu nawet podczas najbardziej nieoczekiwanych okoliczności. Organizacje, które mają wdrożony i certyfikowany system ISO 22301, doświadczą wielu takich samych korzyści jak w przypadku wdrożenia i certyfikacji ISO/IEC 27001. Dodatkowo będą również w stanie:

  • Utrzymać ciągłości operacji biznesowych. ISO 22301 można zastosować w przypadku wielu incydentów, od niesprzyjającej pogody po cyberatak. System pomaga pracownikom ocenić potencjalny wpływ zakłóceń operacyjnych i bezzwłocznie podjąć odpowiednie kroki.
  • zapewnić ciągłość dostarczania swoich produktów i usług oraz wykonywać działania, które mają kluczowe znaczenie dla pomyślnego kontynuowania ich działalności.
  • obniżyć koszty ubezpieczenia na wypadek przerw w działalności.

 

OBOWIĄZKI OPERATORA USŁUGI KLUCZOWEJ

 

Wybrane obowiązki operatora usługi kluczowej (OUK)

Przykładowe wymagania normy pomagające w ich realizacji

Po 3 miesiącach
od momentu otrzymania decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej

 

 

 

OUK dokonuje szacowania ryzyka dla swoich usług kluczowych

ISO/IEC 27001: Pkt. 6.1.2 Szacowanie ryzyka w bezpieczeństwie informacji

Zgodnie z powyższym wymaganiem normy organizacja powinna opracować i wdrożyć proces szacowania ryzyka w bezpieczeństwie informacji, który:

  • ustanawia i utrzymuje kryteria ryzyka,

  • zapewnia spójne, poprawne i porównywalne wyniki w kolejnych szacowaniach ryzyka,

  • analizuje poszczególne ryzyka w bezpieczeństwie informacji oraz

  • ocenia ryzyka.

Dodatkowo organizacja powinna udokumentować informacje o procesie szacowania ryzyka w bezpieczeństwie informacji.

Proces szacowania ryzyka powinien być poprzedzony identyfikacją kwestii wewnętrznych oraz zewnętrznych (4.1) oraz identyfikacją potrzeb współpracujących z organizacją zainteresowanych stron (4.2). To podejście pozwala całościowo zrozumieć sposób funkcjonowania organizacji i kontekstu, w jakim działa i funkcjonuje. 

Pkt. 8.2 Szacowanie ryzyka w bezpieczeństwie informacji

Organizacja powinna szacować ryzyko
w bezpieczeństwie informacji w zaplanowanych odstępach czasu lub wtedy, gdy proponowane jest wprowadzenie istotnych zmian, a także wtedy, gdy wystąpią istotne zmiany, z uwzględnieniem kryteriów określonych w 6.1.2 a).

OUK może dokonać szacowania ryzyka dla swoich usług kluczowych zgodnie z międzynarodowo akceptowalnymi wymaganiami.

 

Wyznacza osobę kontaktową z właściwym CSIRT i PPK przy MC

ISO/IEC 27001 Pkt 5.3 Role, odpowiedzialność i uprawnienia

Zgodnie z tym punktem, najwyższe kierownictwo organizacji powinno zapewnić, aby odpowiedzialność i uprawnienia dla osób pełniących istotną rolę w zapewnieniu bezpieczeństwa informacji zostały przydzielone i zakomunikowane.  Najwyższe kierownictwo powinno przydzielić odpowiedzialności i uprawnienia w zakresie:

  • zapewnienia zgodności systemu zarządzania bezpieczeństwem informacji z wymaganiami normy,

  • przedstawiania najwyższemu kierownictwu wyników działania systemu oraz

  • informowania o wynikach działania systemu w organizacji wybranym lub wszystkim zainteresowanym stronom.

Osoba kontaktowa z właściwym CSIRT i PPK przy MC może być jednocześnie odpowiedzialna za SZBI.

 

OUK prowadzi działania edukacyjne wobec użytkowników

ISO/IEC 27001 Pkt. 7.2 Kompetencje

Zgodnie z ISO/IEC 27001 organizacja powinna:

  • określić niezbędne kompetencje osoby (osób) wykonującej(-ych) pod jej nadzorem pracę mającą wpływ na wyniki dotyczące bezpieczeństwa informacji,

  • zapewnić, aby te osoby były kompetentne , dzięki odpowiedniemu wykształceniu, szkoleniu lub doświadczeniu,

  • tam, gdzie ma to zastosowanie, podjąć działania w celu uzyskania niezbędnych kompetencji i ocenić skuteczność działań, oraz

  • zachować odpowiednie udokumentowane informacje, jako dowód kompetencji.

Pkt. 7.3 Uświadamianie

Osoby pracujące pod nadzorem organizacji powinny być świadome:

  • polityki bezpieczeństwa informacji,

  • ich wkładu w skuteczność SZBI, w tym korzyści z doskonalenia wyników dotyczących bezpieczeństwa informacji oraz

  • konsekwencji niezgodności z wymaganiami systemu.

OUK może spełnić wymaganie ustawy poprzez stosowanie w codziennej działalności procesu utrzymywania i podnoszenia kompetencji oraz budowania świadomości w organizacji zgodnie z wymaganiami przytoczonymi powyżej.

 

OUK zgłasza incydenty poważne

ISO/IEC 27001 Pkt. 7.4 Komunikacja

Organizacja powinna określić potrzeby w zakresie komunikacji wewnętrznej i zewnętrznej dotyczącej systemu zarządzania bezpieczeństwem informacji, w tym:

  • co ma być komunikowane,

  • kiedy ma być komunikowane,

  • komu i przez kogo powinno być komunikowane, oraz

  • procesy, w ramach których komunikowanie powinno się odbywać.

OUK stosując powyższe wymaganie może dokładnie określić sposób komunikowania incydentów poważnych.

Po 6 miesiącach od momentu otrzymania decyzji administracyjnej uznającej podmiot za operatora usługi kluczowej

 

 

 

OUK wdraża odpowiednie i adekwatne do oszacowanego ryzyka środki techniczne i organizacyjne

ISO/IEC 27001 Pkt. 6.1.3 Postępowanie z ryzykiem w bezpieczeństwie informacji

Zgodnie z powyższym punktem organizacja powinna opracować i wdrożyć proces postepowania z ryzykiem w bezpieczeństwie informacji w celu:

  • wyboru odpowiednich opcji postępowania z ryzykiem,

  • określenia wszystkich zabezpieczeń,

  • porównania zabezpieczeń określonych powyżej z tymi w Załączniku A oraz sprawdzenia, czy żadne wymagane zabezpieczenia nie zostały pominięte,

  • sformułowania planu postępowania z ryzykiem w bezpieczeństwie informacji,

  • uzyskania zgodny właścicieli ryzyka na plan postępowania z ryzykiem oraz ich akceptacji dla rezydualnych ryzyk w bezpieczeństwie informacji

Organizacja powinna zachować udokumentowane informacje o procesie postępowania z ryzykiem.

Pkt. 8.3 Postępowanie z ryzykiem w bezpieczeństwie informacji

OUK postępując według zapisów tego wymagania z nawiązką spełni wymaganie wynikające wprost z Ustawy.

 

OUK stosuje wymaganą dokumentację

ISO/IEC 27001 Pkt. 7.5 Udokumentowane informacje

Zgodność z ISO/IEC 270001 oznacza, że organizacja opracowuje niezbędną dokumentację dotyczącą systemu zarządzania bezpieczeństwem informacji. Zakres dokumentacji uzależniony będzie m.in. od wielkości organizacji lub złożoności procesów. Norma kładzie również nacisk na to, aby tworzona dokumentacja była aktualna, dostępna oraz odpowiednio chroniona.

OUK postępując zgodnie z wymaganiami normy zapewni, że stosuje i aktualizuje dokumentację dotyczącą cyberbezbezpieczeństwa systemu informacyjnego. Ponadto spełnienie wymagań normy zagwarantuje właściwy nadzór na dokumentacją oraz jej ochronę przed niewłaściwym użyciem lub utratą integralności.

 

OUK Stosuje środki zapobiegające i ograniczające wpływ incydentów na bezpieczeństwo systemu informacyjnego

ISO 22301 Pkt. 8.4 Ustanowienie i wdrożenie procedur ciągłości działania

Organizacja ustanawia, wdraża i utrzymuje procedury ciągłości działania w celu zarządzania incydentem zakłócającym. Procedury w sposób szczegółowy powinny określać kroki oraz zasoby wykorzystywane w czasie zakłócenia.

 

Podsumowując, wdrożenie i certyfikacja systemu zarządzania bezpieczeństwem informacji zgodnego z ISO/IEC 27001 oraz systemu zarządzania ciągłością biznesu zgodnego z ISO 22301, pomoże spełnić przedsiębiorcom wymagania ustawa o krajowym systemie cyberbezpieczeństwa oraz minimalizować skutki ataków naruszających bezpieczeństwo informatyczne.


Jeśli są Państwo zainteresowani wdrożeniem i certyfikacją ISO/IEC 27001 i/lub ISO 22301 zapraszamy do kontaktu telefonicznego pod numerem 22 6497664 lub mailowego na adres: isoqar@isoqar.pl

Skontaktuj się z nami

Zgodnie z art. 13 ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. (Dz. Urz. UE L 119 z 04.05.2016) informuję, iż:

1) administratorem Pani/Pana danych osobowych jest ISOQAR CEE  Sp. z o.o. ul. Wąwozowa 11, 02-796 Warszawa,

2) Pani/Pana dane osobowe przetwarzane będą w celach marketingowych na podstawie Art. 6 ust. 1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r.

3) Pani/Pana dane osobowe przechowywane będą do momentu odwołania zgody

4) odbiorcami Pani/Pana danych osobowych będą wyłącznie podmioty uprawnione do uzyskania danych osobowych na podstawie przepisów prawa oraz podmioty realizujące usługę mass mailingu

5) posiada Pani/Pan prawo do żądania od administratora dostępu do danych osobowych, prawo do ich sprostowania usunięcia lub ograniczenia przetwarzania, prawo do cofnięcia zgody oraz prawo do przenoszenia danych

6) ma Pani/Pan prawo wniesienia skargi do organu` nadzorczego

7) Pani/Pana dane będą przetwarzane w sposób zautomatyzowany w tym również w formie profilowania. Zautomatyzowane podejmowanie decyzji będzie odbywało się na zasadach określonych w regulaminie (opcje: subskrypcji, itp.) a konsekwencją takiego przetwarzania będzie otrzymywanie wyselekcjonowanej informacji marketingowej

8) podanie danych osobowych jest dobrowolne, jednakże niepodanie danych może skutkować niemożliwością uczestnictwa w (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Jednocześnie zgodnie z art.6 ust.1 lit. a ogólnego rozporządzenia o ochronie danych osobowych z dnia 27 kwietnia 2016 r. wyrażam zgodę na przetwarzanie moich danych osobowych w celu (opcje: subskrypcji newslettera, otrzymywania ofert marketingowych, udziału w ankietach)

Regulamin plików cookies